Действительно обнаружили iframe в html/shtml файлах и прибили.
Судя по всему у кого-то из сотрудников вирус увёл пароль к фтп этого домена. На остальных доменах чисто.
У всех на крабочих компах стоят платные антивири, как оно проскачило пока не понятно. Проверяем компьютеры.
Спасибо всем за своевременный сигнал.